ShareConnect
重要:
ShareConnect 已于 2020 年 6 月 30 日达到生命周期已结束 (EOL) 状态。有关详细信息,请参阅 EOL 和已弃用的应用程序。
借助 ShareConnect,用户可以通过 iPad、Android 平板电脑和 Android 手机安全地连接到其计算机,以访问文件和应用程序。用户可以执行以下操作:
- 处理同时位于其计算机上以及位于已连接并联网的驱动器上的文件。
- 从 ShareConnect 中的目标计算机运行应用程序。
- 进行移动应用程序访问,无需打包其他移动生产力应用程序。
- 在 Citrix Virtual Desktops 上运行 ShareConnect 以实现移动优化的访问。
可以从Endpoint Management 下载页面下载 ShareConnect 的 MDX 版本。
有关如何安装和使用 ShareConnect 的一般信息,请参阅 Citrix 知识中心。
体系结构概述
ShareConnect 组件包括 Citrix 拥有的 ShareConnect Broker 和 ShareConnect Communication Server,如下图所示。ShareConnect Broker 是用于将用户映射到计算机的应用程序服务器和数据库。该应用程序随后告知用户其主机计算机处于联机还是脱机状态。ShareConnect Communication Server 用于在主机计算机与客户端计算机之间交换数据。根据 Endpoint Management 设置,该数据可以通过安全的 Micro VPN 通道在主机计算机与客户端计算机之间传输。
此外,Citrix Files 还可以通过 SAML 身份提供程序 (IdP) 提供通过单点登录 (SSO) 实现的用户身份验证,例如 Endpoint Management 或 Active Directory 联合身份验证服务 (ADFS)。访问网络外部的资源通过 Endpoint Management 部署中的 Citrix Gateway 实现。
连接在 ShareConnect 中的工作原理
ShareConnect 建立直接或间接连接:
- 直接连接。如果计算机位于相同的局域网或 Wi-Fi 网络中,ShareConnect 将在客户端计算机与主机计算机之间建立直接连接。在这种情况下,数据直接在客户端计算机与正用于访问主机计算机的移动设备之间传输。数据不通过 ShareConnect Communication Server 传输,因此性能最佳。对于直接连接,Endpoint Management 使用 Citrix Gateway 提供对本地网络外部的资源的安全访问。
- 间接连接。如果无法直接访问计算机,ShareConnect 将在客户端计算机与主机计算机之间建立间接连接。在这种情况下,数据通过 ShareConnect Communication Server 传输。
下图显示了用户从运行使用直接连接的 ShareConnect 的计算机或移动设备访问主机计算机时使用的连接。连接步骤在图下方进行说明。
① 在这种情况下,Endpoint Management 配置为用作 Citrix Files 的 SAML IdP,以提供从 Secure Hub 进行 SSO。ShareConnect 从 Secure Hub 请求 SAML 令牌,Secure Hub 转而通过 Citrix Gateway 将请求传递到 Endpoint Management。Endpoint Management 随后将 SAML 令牌发送到 ShareConnect。
② ShareConnect 将 SAML 令牌发送到 Citrix Files 进行验证以及将 SAML 令牌交换成 OAuth 令牌。
③ ShareConnect 将 OAuth 令牌发送到 ShareConnect Broker,Broker 随后将会话令牌发送到 ShareConnect。
④ ShareConnect 从 ShareConnect Broker 获取主机计算机的列表,并提示输入主计算机的凭据。ShareConnect 随后与 ShareConnect Communication Server 建立直接连接。主机计算机验证凭据后,ShareConnect 将从主机计算机获取文件和应用程序的列表。用户打开某个文件或应用程序后,ShareConnect 与主机计算机之间将建立直接连接。
⑤ 主机计算机上的 ShareConnect 代理将状态消息发送到 ShareConnect Poll Server 以指示其处于联机还是脱机状态。
⑥ ShareConnect Poll Server 将负载平衡的请求从 ShareConnect 代理发送到 ShareConnect Broker,并将主机状态更新发送到 ShareConnect Broker。
ShareConnect 安全性
ShareConnect 使用内置的 128 位 AES 加密,因此,在 ShareConnect 客户端与运行 ShareConnect 代理的主机计算机之间发送的所有数据将从端到端完全加密。加密密钥对每个连接都是唯一的。甚至最复杂的设备也无法拦截解码加密所需的数据。
您通常配置 ShareConnect,以便数据在 ShareConnect 客户端与主机计算机之间直接路由。除非您将“网络访问”策略配置为无限制访问,否则,数据将不通过 ShareConnect 通信服务器路由。有关策略的详细信息,请参阅本文中的“将 ShareConnect 添加到 Endpoint Management”。
对于直接或间接连接,加密的元数据(例如,建立连接所需的 IP 地址和端口)将发送到 ShareConnect 服务器。
此外,ShareConnect 的 MDX 封装通过 MDX Vault 提供数据加密。Vault 加密 MDX 封装的应用程序以及 iOS(iOS 9 之前)和 Android 设备上存储的关联数据。加密使用 OpenSSL 提供的 FIPS 认证加密模块进行。
有关安全设置和管理控制的信息,请参阅下面的安全白皮书。
ShareConnect 的端口要求
打开以下端口以允许 ShareConnect 通信。端口要求因连接类型而异。如果计算机位于相同的局域网或 Wi-Fi 网络中,连接可以是直接连接。或者,如果客户端和主机计算机无法直接相互连接,连接可以是间接连接。
对于直接连接
TCP 端口 80 - 用于从 Citrix Gateway 到 app.shareconnect.com 的出站连接。
源 - Citrix Gateway
目标 - app.shareconnect.com
TCP 端口 80、443、8200 - 对于从 Citrix Gateway 到 ShareConnect Communication Server 的出站连接,至少需要打开其中一个端口。
源 - Citrix Gateway
目标 - ShareConnect Communication Server
TCP 端口 80、443、8200 - 用于从 ShareConnect 主机计算机到 Citrix 服务器的出站连接。
源 - ShareConnect 主机计算机
目标 - poll.shareconnect.com、ShareConnect Communication Server
TCP 端口 443 - 用于从 Citrix Gateway 到所需站点的出站连接。
源 - Citrix Gateway
目标 - crashlytics.com、secure.sharefile.com、ShareFile_sub-domain.sharefile.com
TCP 端口 53000 - 53010 - 用于从 Citrix Gateway 到 ShareConnect 主机计算机的出站连接。
源 - Citrix Gateway
目标 - 基于局域网的 ShareConnect 主机计算机
TCP 端口 53000 - 53010 - 用于从 Citrix Gateway 到 ShareConnect 主机计算机的入站连接。
源 - Citrix Gateway
目标 - 基于局域网的 ShareConnect 主机计算机
对于间接连接
TCP 端口 80 - 用于从 ShareConnect 代理到 app.shareconnect.com 的出站连接。
源 - ShareConnect 代理
目标 - app.shareconnect.com
TCP 端口 80、443、8200 - 对于从 ShareConnect 代理到 ShareConnect Communication Server 的出站连接,至少需要打开其中一个端口。
源 - ShareConnect 代理
目标 - ShareConnect Communication Server
TCP 端口 80、443、8200 - 用于从 ShareConnect 主机计算机到 Citrix 服务器的出站连接。
源 - ShareConnect 主机计算机
目标 - poll.shareconnect.com、ShareConnect Communication Server
TCP 端口 443 - 用于从 ShareConnect 代理到所需站点的出站连接。
源 - ShareConnect 代理
目标 - crashlytics.com、secure.sharefile.com、ShareFile_sub-domain.sharefile.com
集成和交付 ShareConnect
要将 ShareConnect 与 Endpoint Management 进行集成并交付,请按照以下常规步骤进行操作:
-
可以选择启用从 Secure Hub 进行 SSO。为此,请在 Endpoint Management 中配置 Citrix Files 帐户信息,以将 Endpoint Management 用作 Citrix Files 的 SAML IdP。
在 Endpoint Management 中配置 Citrix Files 帐户信息属于一次性设置。一次性设置用于所有移动生产力应用程序客户端、Citrix Files 客户端和非 MDX Citrix Files 客户端。
-
下载并打包 ShareConnect。有关详细信息,请参阅关于 MDX Toolkit。
-
将 ShareConnect 添加到 Endpoint Management 并配置 MDX 策略。
-
在主机计算机上安装 ShareConnect 代理。ShareConnect 代理是一个 MSI 软件包。因此,您可以使用现有软件部署方法分发和安装该代理。用户必须在安装完成后的一小时内使用其 Citrix Files 凭据登录代理,注册主机计算机。
或者,用户可以在要通过 ShareConnect 连接到的计算机上安装 ShareConnect 代理。有关详细信息,请参阅文本中的“在计算机上安装 ShareConnect 代理”。
将 ShareConnect 添加到 Endpoint Management
请使用与针对其他 MDX 应用程序相同的步骤将 ShareConnect 添加到 Endpoint Management。有关详细信息,请参阅添加 MDX 应用程序。添加 ShareConnect 时,请为其配置 MDX 策略,如下表所示。
策略 | 值 | 结果 |
---|---|---|
网络访问 | 通过通道连接到内部网络或不限制 | 通过通道连接到内部网络对所有网络访问使用返回到内部网络的 PerApp VPN 通道。此配置在 ShareConnect 与主机计算机之间提供直接连接。不限制使用 Citrix 拥有的 Communication Server 在主机计算机与 ShareConnect 代理之间路由加密数据。请务必使用无限制访问权限测试您的设置,以确保一切正常,即使您计划使用通过通道连接到内部网络进行网络访问也是如此。 |
首选 VPN 模式 | 通道 - Web SSO | 为需要执行 SSO 的连接恰当地设置初始连接模式。 |
启用加密 | 开 | 加密平板电脑上存储的数据。 |
剪切和复制 | 不限制 | 为 ShareConnect 启用剪切和复制操作。 |
粘贴 | 不限制 | 为 ShareConnect 启用粘贴操作。 |
文档交换(打开方式) | 不限制 | 允许用户从 ShareConnect 中打开已连接的计算机上或已连接的网络驱动器上的任何文件。 |
保存密码 | 关 | 要求用户在每次登录 ShareConnect 时输入其计算机的用户名和密码。 |
在计算机上安装 ShareConnect 代理
以下步骤介绍了用户如何在要从受支持的移动设备连接到的每台物理机或虚拟机上安装 ShareConnect 代理。
在执行这些步骤之前,用户必须先安装 Secure Hub。然后再按照提示进行操作以允许在受支持的移动设备上安装移动生产力应用程序。
-
在平板电脑上登录 Secure Hub。
-
打开 ShareConnect。
-
轻按 Email download link(使用电子邮件发送下载链接)。
Citrix 将从 no-reply@shareconnect.com 向您发送一封电子邮件。
-
在要从 ShareConnect 访问的主机计算机上打开该电子邮件。
-
在该电子邮件,单击 Set up this computer(设置此计算机)。
-
双击 ShareConnect_Installer.exe 开始安装。
ShareConnect 代理将安装在您的主机计算机上。安装过程中,ShareConnect 会提示输入电子邮件地址(如果配置了 Citrix Files SSO)。或者,ShareConnect 会提示输入 Citrix Files 凭据(如果未配置 Citrix Files SSO)。
-
按照 ShareConnect 和入门向导中提供的说明进行操作。
ShareConnect 代理随后将注册主机计算机。主机计算机可以从 ShareConnect 客户端进行连接,前提是主机计算机已打开电源,并且能够在一个已发布的端口(80、443 或 8200)上访问 poll.shareconnect.com。
ShareConnect 功能
-
添加主机计算机。使用 ShareConnect,用户可以从受支持的移动设备添加和连接到远程主机计算机。
-
访问文件。用户可以查看最近打开的文件列表,浏览并搜索其主机计算机和已连接的驱动器上的文件。
-
编辑文件。在平板电脑中,用户可以访问主机计算机上的桌面应用程序以编辑文件。用户可以在全屏模式下使用应用程序。
-
屏幕共享。用户可以使用屏幕共享功能查看其主机计算机的桌面,而非仅查看单个文件或应用程序。
-
Citrix Files 集成。用户可以在主机计算机与 Citrix Files 之间移动或共享文件。
-
主机和键盘。ShareConnect 支持同时使用蓝牙键盘和 Citrix XI Prototype 鼠标。
-
端口受到限制。ShareConnect 仅使用端口 53000 到 53010。
-
每次登录时强制输入密码。为增强安全性,可以配置此选项以要求用户在每次登录 ShareConnect 时输入计算机密码。如果禁用了“保存密码”策略(如下图所示),系统将强制用户在每次连接时都输入其登录凭据。
-
添加或删除应用程序。用户可以通过切换每个应用程序旁边的开关以选择或取消选择该应用程序,从而在 ShareConnect 的应用程序托盘中添加或删除应用程序。
-
缓存预览的文件。ShareConnect 缓存已访问的文件,以便在用户预览其他文件后返回较早预览的文件时不会再次下载文件。此功能缩短了用户后续访问文件时的加载时间。
ShareConnect 故障排除
ShareConnect 代理安装问题
问题 | 说明和解决办法 |
---|---|
如果用户下载了 ShareConnect 代理,但等待一小时或更长时间后开始安装,则必须输入其 Citrix Files 帐户名称和密码,才能注册 ShareConnect 代理。 | ShareConnect 代理安装程序包括一个在下载一小时后过期的令牌。如果用户在令牌过期之前未启动安装,则必须登录其 Citrix Files 帐户两次,第一次为注册 ShareConnect 代理,然后在安装完成后登录该代理。如果用户在一小时内下载并安装 ShareConnect 代理,系统仅提示用户登录一次。 |
注册 ShareConnect 代理过程中,该代理不连接并显示错误消息,例如“Please check your connection and try again”(请检查您的连接并重试)。 | 请确认 poll.shareconnect.com 的端口未被阻止。有关详细信息,请参阅上文中的“系统要求”。 |
ShareConnect 连接问题
重要:
我们建议您将“网络访问”策略设置为不限制以排除端口和网络设置问题,以便测试 ShareConnect。不限制访问将强制 ShareConnect 通过 ShareConnect Communication Server 进行连接,在 ShareConnect 移动设备和主机计算机具有 Internet 连接时,这样通常使您能够测试连接。
问题 | 说明和解决办法 |
---|---|
ShareConnect 启动,但不连接到主机计算机,也不提示输入凭据。 | 验证设置是否满足上文“系统要求”下详述的端口要求。 |
用户无法使用其 Citrix Files 帐户凭据登录 ShareConnect。 | 通过 SSO 登录 ShareConnect 要求为您的 Citrix Files 帐户配置 SAML IdP。有关将 Endpoint Management 用作 SAML IdP 的详细信息,请参阅 适用于 Endpoint Management 的 Citrix Content Collaboration。有关配置其他 IdP 的详细信息,请参阅此知识中心文章。如果没有为您的帐户配置 SSO,ShareConnect for iOS 将提示输入用户的 Citrix Files 用户名和密码。 |
用户登录到 ShareConnect 后,ShareConnect 将无法连接到主机计算机。 | 将 ShareConnect 配置为直接连接(即,将“网络访问”策略设置为“通过通道连接到内部网络”)后,如果网络设置(例如,防火墙阻止)或配置的代理服务器中存在限制,连接可能会失败。 |